망분리 완화 환경에서의 정보보호 관리 방법 4가지
[보안뉴스=오세혁 기술사/한앤컴퍼니씨에스지] 최근 국가정보원의 N²SF(국가 망 관리체계), 금융위의 망분리 개선 로드맵에 따라 우리나라 공공기관, 금융회사 및 전자금융업자, 개인정보처리자를 중심으로 적용되던 망분리 체계가 전환기를 맞이하고 있다.
[자료: gettyimagesbank]
망분리 제도의 도입 배경 및 기존 방식
망분리는 국가와 기업의 주요 정보 및 개인정보 등을 사이버 공격을 비롯한 외부 위협으로부터 보호하기 위한 조치이다. 외부 인터넷과 내부 업무망을 물리적 또는 논리적으로 완전히 분리하여 운영함으로써 내부 데이터 및 네트워크를 보호할 수 있다.
우리나라는 2007년, 해외발 사이버 공격의 피해를 계기로 공공부문에 국가기관 망분리 사업으로 본격적으로 도입이 시작됐고, 2013년 금융권 대규모 전산장애 사건 이후 단계적으로 금융업계 전 분야에 걸쳐 망분리 도입이 확대됐다.
망분리 도입 초기에는 업무망과 인터넷망을 별도의 PC나 네트워크로 완전히 나누는 ‘물리적 망분리’가 일반적이었지만, 이후 가상화 기술을 활용해 하나의 장비에서 내부망과 외부망을 분리하는 ‘논리적 망분리’도 도입됐다.
망분리 정책으로 인한 신기술 활용 제약 사례
망분리 정책은 2015년 발생한 크립토락커 랜섬웨어 사태에서 금융권의 피해를 최소화하는 등 효과적인 수단임이 입증됐다. 하지만 급변하는 IT 업계 신기술 흐름을 따라가지 못한다는 문제점이 계속해서 제기돼 왔다.
개발 업무 시 외부 자원, 오픈소스 활용의 제약은 물론이고, 외부 네트워크와의 상시 연결이 필수적인 AI, 클라우드, 빅데이터와 같은 신기술은 엄격한 망분리 환경에서는 활용하는 데 현실적인 어려움이 존재했다.
예컨대 금융권에서는 샌드박스 시행 등 일부 예외 규정을 두긴 했지만, 고객 데이터를 활용한 클라우드 기반의 서비스를 도입하려 해도 엄격한 보안심사 절차와 규제준수의 벽 앞에서 많은 어려움이 있었다.
공공기관의 경우, AI 기술인 챗GPT 등을 업무 환경에서 자유롭게 사용하는 것이 사실상 불가능했다. 그렇기 때문에 망분리로 인한 보안 통제가 지나치게 신기술 활용에 제약을 둔다는 단점과 함께 개선해야 한다는 요구가 지속되어 왔다.
최근 국가망 관리체계 변화와 신기술 활용 개선
이러한 배경에서 정부는 최근 국정원 주도로 기존의 획일적인 망분리 체계를 N²SF(국가 망 보안체계)를 중심으로 개편하는 작업을 추진하고 있다. N²SF는 정보의 중요도와 민감도를 기준으로 ‘기밀(Classified, C)’, ‘민감(Sensitive, S)’, ‘공개(Open, O)’ 등급으로 구분하고, 각 등급에 따라 다른 수준의 보안 통제를 적용하는 것이 핵심이다. 예를 들어 가장 중요한 기밀 정보는 여전히 철저한 망분리 체계를 유지하되, 민감 정보와 공개 정보는 상대적으로 완화된 수준의 분리나 통제를 적용하여 신기술을 보다 적극적으로 활용할 수 있게 한다는 것이다.
▲국가 망 보안체계 보안 가이드라인 [자료: 국정원]
현재 국가정보원과 행정안전부 등 정부 기관들은 공공부문의 업무 효율성을 높이기 위해 8가지 정보서비스 모델로 △공공데이터의 AI융합 △인터넷 단말의 업무 효율성 제고 △업무 환경에서의 생성 AI 활용 △외부 클라우드 활용 △업무 단말의 인터넷 이용 △연구 목적 단말의 신기술 활용 △개발 환경 편의성 향상 △클라우드 기반 통합 문서체계를 선정해 시범사업을 운영하고 있다.
그간 엄격한 망분리로 진행이 어려웠던 분야들을 대상으로 선제적으로 추진하는 것이다. 정부의 의도는 데이터 보호를 위한 보안 통제와 기술 혁신을 동시에 달성하는 것으로, 보안의 기본 원칙을 유지하면서도 보다 현실적이고 유연한 대응을 목표로 하고 있다.
특히 공공기관의 경우 그동안 망분리 때문에 업무망과 인터넷망을 오가며 USB 등의 예외적 수단으로 자료를 옮기는 비효율이 빈번했고, 실제 망분리 환경을 유지하지 못해 예외적으로 인터넷 연결을 허용하다 보안사고가 발생한 사례들도 있다는 지적이다. 다행히 망분리 정책 개선과 유연화가 현실화되면서 그동안의 제약도 빠르게 해소되는 추세다.
국가정보원은 2024년 9월 국제 행사에서 망분리 정책 유연화 방안을 공개하며 “앞으로 공공기관 업무용 PC에서도 챗GPT 등 AI 서비스를 활용할 수 있게 될 것”이라고 밝혔다. 새로운 정책에 따라 기밀 정보는 계속 엄격히 격리하되, 민감도 낮은 업무는 퍼블릭 클라우드 이용을 허용하여 필요 데이터를 과감히 개방·공유하도록 하는 방향이 제시됐다.
이로 인해 공공기관에서도 민간 클라우드를 활용한 빅데이터 분석이나 AI 학습이 한층 수월해지고, 한동안 제한됐던 공공 데이터 공유와 신기술 활용이 탄력을 받을 전망이다. 이러한 규제 완화와 패러다임의 변화에서 정보보호 관리 및 운영 측면에서도 그동안의 망분리 환경과 다른 방식의 변화가 요구된다.
망분리 완화 환경에서의 정보보호 관리 운영 방법
첫째, 자율보안체계로의 전환을 준비해야 한다. 국정원이 발표한 6대 통제항목을 일부 참고하자면, 접근권한 최소화, 다요소 인증 도입(MFA), 정보흐름 통제, 시스템 모니터링 등 세부 대책을 여건에 맞추어 마련해야 한다. 이를 위해 정보자산 목록화, 중요정보 선별, 등급분류 업무지침 수립 등 운영 절차 전반을 정비하고 관련 예산·조직 편성을 검토가 필요하다.
둘째, 보안 운영 패러다임의 전환이 필요하다. 과거에는 경계 침입 차단에 집중했다면, 이제는 제로트러스트에 근거한 내부 활동까지 포함한 전반적인 가시성을 확보해야 한다. 따라서 보안 모니터링과 위협 인텔리전스 강화를 통해 공격 징후를 조기에 포착하고, 대응하는 사이버 위협 헌팅(Threat Hunting) 활동을 활성화해야 한다. 필요한 경우 국가‧기업 합동 사이버 위기 대응체계(CERT)와 공조하고, C-TAS와 같은 위협 정보공유 플랫폼을 통해 최신 위협 정보를 공유할 필요가 있다.
셋째, 조직 규모와 예산을 고려해 신규 사업이나 교체 예정 시스템부터 우선 적용하며, 중장기 계획에 따른 단계적 적용이 필요하다. 보안담당자는 국가사이버안보센터, 한국인터넷진흥원 및 해외 기관들에서 발행되는 가이드라인과 모범 사례를 참고하고, 필요시 외부 컨설팅을 활용해 정책 적용 시기를 조율할 줄 알아야 한다.
마지막으로 보안역량 강화를 위한 직원 교육과 정기적인 훈련을 병행하고, 업데이트되는 매뉴얼·표준프로세스를 내부에 반영하는 등 일상 업무에 통합하는 노력이 요구된다. 이로써 망분리 완화와 신기술 도입 속에서도 정보보안성과 업무 효율성을 균형 있게 확보할 수 있을 것이다.
최근 망분리 개선과 같은 흐름은 앞으로 더 이상 ‘보안과 혁신 중 하나만 선택하는 이분법적 접근’이 아닌 ‘보안 내재화 설계(내재적 보안 설계)’라는 새로운 패러다임을 인식하고 추진해야 한다는 점을 시사한다. 망분리 제도의 개선은 바로 이러한 혁신을 실질적으로 뒷받침하는 제도적 마중물로서의 역할이 기대된다.
[글_오세혁 기술사/한앤컴퍼니씨에스지]
필자 소개_
- 한국정보공학기술사회 미래융합기술원 위원
- KISA, 금융결제원, NIPA, 한국교통안전공단 전문평가위원
- 정보관리기술사, CFE, CEH, 정보시스템 수석감리원, 정보통신 특급감리/특급기술자
[보안뉴스=오세혁 기술사/한앤컴퍼니씨에스지] 최근 국가정보원의 N²SF(국가 망 관리체계), 금융위의 망분리 개선 로드맵에 따라 우리나라 공공기관, 금융회사 및 전자금융업자, 개인정보처리자를 중심으로 적용되던 망분리 체계가 전환기를 맞이하고 있다.
[자료: gettyimagesbank]
망분리 제도의 도입 배경 및 기존 방식
망분리는 국가와 기업의 주요 정보 및 개인정보 등을 사이버 공격을 비롯한 외부 위협으로부터 보호하기 위한 조치이다. 외부 인터넷과 내부 업무망을 물리적 또는 논리적으로 완전히 분리하여 운영함으로써 내부 데이터 및 네트워크를 보호할 수 있다.
우리나라는 2007년, 해외발 사이버 공격의 피해를 계기로 공공부문에 국가기관 망분리 사업으로 본격적으로 도입이 시작됐고, 2013년 금융권 대규모 전산장애 사건 이후 단계적으로 금융업계 전 분야에 걸쳐 망분리 도입이 확대됐다.
망분리 도입 초기에는 업무망과 인터넷망을 별도의 PC나 네트워크로 완전히 나누는 ‘물리적 망분리’가 일반적이었지만, 이후 가상화 기술을 활용해 하나의 장비에서 내부망과 외부망을 분리하는 ‘논리적 망분리’도 도입됐다.
망분리 정책으로 인한 신기술 활용 제약 사례
망분리 정책은 2015년 발생한 크립토락커 랜섬웨어 사태에서 금융권의 피해를 최소화하는 등 효과적인 수단임이 입증됐다. 하지만 급변하는 IT 업계 신기술 흐름을 따라가지 못한다는 문제점이 계속해서 제기돼 왔다.
개발 업무 시 외부 자원, 오픈소스 활용의 제약은 물론이고, 외부 네트워크와의 상시 연결이 필수적인 AI, 클라우드, 빅데이터와 같은 신기술은 엄격한 망분리 환경에서는 활용하는 데 현실적인 어려움이 존재했다.
예컨대 금융권에서는 샌드박스 시행 등 일부 예외 규정을 두긴 했지만, 고객 데이터를 활용한 클라우드 기반의 서비스를 도입하려 해도 엄격한 보안심사 절차와 규제준수의 벽 앞에서 많은 어려움이 있었다.
공공기관의 경우, AI 기술인 챗GPT 등을 업무 환경에서 자유롭게 사용하는 것이 사실상 불가능했다. 그렇기 때문에 망분리로 인한 보안 통제가 지나치게 신기술 활용에 제약을 둔다는 단점과 함께 개선해야 한다는 요구가 지속되어 왔다.
최근 국가망 관리체계 변화와 신기술 활용 개선
이러한 배경에서 정부는 최근 국정원 주도로 기존의 획일적인 망분리 체계를 N²SF(국가 망 보안체계)를 중심으로 개편하는 작업을 추진하고 있다. N²SF는 정보의 중요도와 민감도를 기준으로 ‘기밀(Classified, C)’, ‘민감(Sensitive, S)’, ‘공개(Open, O)’ 등급으로 구분하고, 각 등급에 따라 다른 수준의 보안 통제를 적용하는 것이 핵심이다. 예를 들어 가장 중요한 기밀 정보는 여전히 철저한 망분리 체계를 유지하되, 민감 정보와 공개 정보는 상대적으로 완화된 수준의 분리나 통제를 적용하여 신기술을 보다 적극적으로 활용할 수 있게 한다는 것이다.
▲국가 망 보안체계 보안 가이드라인 [자료: 국정원]
현재 국가정보원과 행정안전부 등 정부 기관들은 공공부문의 업무 효율성을 높이기 위해 8가지 정보서비스 모델로 △공공데이터의 AI융합 △인터넷 단말의 업무 효율성 제고 △업무 환경에서의 생성 AI 활용 △외부 클라우드 활용 △업무 단말의 인터넷 이용 △연구 목적 단말의 신기술 활용 △개발 환경 편의성 향상 △클라우드 기반 통합 문서체계를 선정해 시범사업을 운영하고 있다.
그간 엄격한 망분리로 진행이 어려웠던 분야들을 대상으로 선제적으로 추진하는 것이다. 정부의 의도는 데이터 보호를 위한 보안 통제와 기술 혁신을 동시에 달성하는 것으로, 보안의 기본 원칙을 유지하면서도 보다 현실적이고 유연한 대응을 목표로 하고 있다.
특히 공공기관의 경우 그동안 망분리 때문에 업무망과 인터넷망을 오가며 USB 등의 예외적 수단으로 자료를 옮기는 비효율이 빈번했고, 실제 망분리 환경을 유지하지 못해 예외적으로 인터넷 연결을 허용하다 보안사고가 발생한 사례들도 있다는 지적이다. 다행히 망분리 정책 개선과 유연화가 현실화되면서 그동안의 제약도 빠르게 해소되는 추세다.
국가정보원은 2024년 9월 국제 행사에서 망분리 정책 유연화 방안을 공개하며 “앞으로 공공기관 업무용 PC에서도 챗GPT 등 AI 서비스를 활용할 수 있게 될 것”이라고 밝혔다. 새로운 정책에 따라 기밀 정보는 계속 엄격히 격리하되, 민감도 낮은 업무는 퍼블릭 클라우드 이용을 허용하여 필요 데이터를 과감히 개방·공유하도록 하는 방향이 제시됐다.
이로 인해 공공기관에서도 민간 클라우드를 활용한 빅데이터 분석이나 AI 학습이 한층 수월해지고, 한동안 제한됐던 공공 데이터 공유와 신기술 활용이 탄력을 받을 전망이다. 이러한 규제 완화와 패러다임의 변화에서 정보보호 관리 및 운영 측면에서도 그동안의 망분리 환경과 다른 방식의 변화가 요구된다.
망분리 완화 환경에서의 정보보호 관리 운영 방법
첫째, 자율보안체계로의 전환을 준비해야 한다. 국정원이 발표한 6대 통제항목을 일부 참고하자면, 접근권한 최소화, 다요소 인증 도입(MFA), 정보흐름 통제, 시스템 모니터링 등 세부 대책을 여건에 맞추어 마련해야 한다. 이를 위해 정보자산 목록화, 중요정보 선별, 등급분류 업무지침 수립 등 운영 절차 전반을 정비하고 관련 예산·조직 편성을 검토가 필요하다.
둘째, 보안 운영 패러다임의 전환이 필요하다. 과거에는 경계 침입 차단에 집중했다면, 이제는 제로트러스트에 근거한 내부 활동까지 포함한 전반적인 가시성을 확보해야 한다. 따라서 보안 모니터링과 위협 인텔리전스 강화를 통해 공격 징후를 조기에 포착하고, 대응하는 사이버 위협 헌팅(Threat Hunting) 활동을 활성화해야 한다. 필요한 경우 국가‧기업 합동 사이버 위기 대응체계(CERT)와 공조하고, C-TAS와 같은 위협 정보공유 플랫폼을 통해 최신 위협 정보를 공유할 필요가 있다.
셋째, 조직 규모와 예산을 고려해 신규 사업이나 교체 예정 시스템부터 우선 적용하며, 중장기 계획에 따른 단계적 적용이 필요하다. 보안담당자는 국가사이버안보센터, 한국인터넷진흥원 및 해외 기관들에서 발행되는 가이드라인과 모범 사례를 참고하고, 필요시 외부 컨설팅을 활용해 정책 적용 시기를 조율할 줄 알아야 한다.
마지막으로 보안역량 강화를 위한 직원 교육과 정기적인 훈련을 병행하고, 업데이트되는 매뉴얼·표준프로세스를 내부에 반영하는 등 일상 업무에 통합하는 노력이 요구된다. 이로써 망분리 완화와 신기술 도입 속에서도 정보보안성과 업무 효율성을 균형 있게 확보할 수 있을 것이다.
최근 망분리 개선과 같은 흐름은 앞으로 더 이상 ‘보안과 혁신 중 하나만 선택하는 이분법적 접근’이 아닌 ‘보안 내재화 설계(내재적 보안 설계)’라는 새로운 패러다임을 인식하고 추진해야 한다는 점을 시사한다. 망분리 제도의 개선은 바로 이러한 혁신을 실질적으로 뒷받침하는 제도적 마중물로서의 역할이 기대된다.
[글_오세혁 기술사/한앤컴퍼니씨에스지]
필자 소개_
- 한국정보공학기술사회 미래융합기술원 위원
- KISA, 금융결제원, NIPA, 한국교통안전공단 전문평가위원
- 정보관리기술사, CFE, CEH, 정보시스템 수석감리원, 정보통신 특급감리/특급기술자
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
